我試圖了解為什么CORS會以其有效的方式工作。當(dāng)我從了解到這個職位，當(dāng)從網(wǎng)頁www.a.com使得AJAX請求www.b.com，那么它的www.b.com是決定是否請求應(yīng)該被允許。但是在這樣的模型中，什么是對客戶確切的保護(hù)呢？例如，如果黑客成功將XSS腳本注入到我的頁面，那么它將向其域發(fā)出AJAX請求以存儲用戶數(shù)據(jù)。因此，黑客的域肯定會允許這樣的請求。我認(rèn)為www.a.com應(yīng)該決定允許請求訪問的域。因此，從理論上講，我想在標(biāo)頭Access-Control-Allow-Origin中放入AJAX CORS請求允許的域的整個列表。有人可以解釋一下當(dāng)前CORS實現(xiàn)所處理的安全問題嗎？